Allarme APT28: migliaia di router compromessi. Le 5 contromisure per la tua PMI

Il 7 aprile 2026, l'FBI e la NSA hanno diffuso un'allerta congiunta che ha pochi precedenti per gravità e scala: un'unità del GRU, l'intelligence militare russa, sta compromettendo sistematicamente router di piccoli uffici e abitazioni — i cosiddetti SOHO (Small Office/Home Office) — in almeno 23 Stati americani, con propaggini in decine di Paesi alleati, Italia compresa. Il gruppo, noto come APT28 o Fancy Bear, non ha sfruttato vulnerabilità zero-day esotiche: ha fatto leva su configurazioni deboli, credenziali predefinite e firmware obsoleti. In altre parole, su quegli errori di igiene digitale che la maggior parte delle PMI italiane commette ogni giorno.

Il bilancio, secondo Microsoft Threat Intelligence, è di oltre 200 organizzazioni e più di 5.000 dispositivi consumer finiti nella rete di intercettazione [malwarebytes.com](https://www.malwarebytes.com/it/blog/news/2026/04/russian-state-sponsored-hackers-hijack-home-and-small-office-routers-for-espionage). E, come ha dichiarato l'FBI, «APT28 ha raccolto password, token di autenticazione e informazioni sensibili, incluse email e dati di navigazione normalmente protetti da crittografia SSL e TLS» [ic3.gov](https://www.ic3.gov/PSA/2026/PSA260407).

Questo articolo spiega come funziona l'attacco, quali router sono a rischio e, soprattutto, cosa deve fare subito un titolare di PMI o un professionista italiano per blindare la propria rete — con le cinque raccomandazioni operative diffuse da FBI e NSA e aggiornate al contesto italiano.

Articolo pubblicato l'11 maggio 2026 — Ultimo aggiornamento: 11 maggio 2026. Questo contenuto verrà rivisto al più tardi entro il 30 giugno 2026 per incorporare eventuali sviluppi dell'indagine FBI e nuovi IOC (Indicator of Compromise) diffusi dalle agenzie di cybersecurity.

Chi è APT28 e perché questo attacco è diverso

APT28 — noto anche come Fancy Bear, Forest Blizzard, BlueDelta e Tsar Team — è un'unità offensiva cyber del GRU russo (85° Centro Speciale Principale, 85th GTsSS), attiva almeno dal 2004. Nel suo curriculum compaiono l'intrusione nel Bundestag tedesco (2015), il furto dei dati del Comitato Nazionale Democratico statunitense (2016), l'attacco al network francese TV5Monde e operazioni contro NATO e OSCE [euronews.com](https://it.euronews.com/2026/04/08/cyberattacco-globale-gli-hacker-russi-di-fancy-bear-violano-router-e-rubano-dati-sensibili).

La campagna svelata ad aprile 2026, tuttavia, segna un salto di qualità metodologico. APT28 non ha bucato server blindati o endpoint protetti da EDR: ha preso il controllo dei dispositivi che stanno a monte di ogni comunicazione digitale — i router — intercettando il traffico prima ancora che raggiungesse i meccanismi di difesa aziendali.

«Per attori statali come Forest Blizzard, il DNS hijacking garantisce visibilità persistente, passiva e su larga scala», ha spiegato Microsoft nel suo rapporto tecnico [cnet.com](https://www.cnet.com/home/internet/5-steps-the-fbi-wants-you-to-take-to-secure-your-router-right-now/). Non si tratta di un attacco "una tantum": è una piattaforma di sorveglianza continua, pensata per durare mesi o anni senza essere rilevata.

Perché riguarda anche te. APT28 ha operato in modo indiscriminato: ha compromesso un'enorme quantità di router, poi ha filtrato le vittime in base all'interesse strategico — enti governativi, militari, contractor della difesa, infrastrutture critiche. Ma per costruire la propria rete di sorveglianza ha bisogno di dispositivi civili apparentemente innocui su cui appoggiarsi. Il router della tua PMI — configurato cinque anni fa e mai più toccato — è il trampolino perfetto.

Come funziona il DNS hijacking sui router

Il DNA dell'attacco è il DNS hijacking, una tecnica che manipola il Sistema dei Nomi di Dominio — l'equivalente della rubrica telefonica di Internet — per dirottare il traffico verso infrastrutture controllate dagli attaccanti. Ecco la sequenza operativa ricostruita dall'FBI.

1. Accesso iniziale. APT28 scansiona Internet alla ricerca di router con credenziali predefinite, firmware vulnerabili (tra cui la CVE-2023-50224 su modelli TP-Link) o interfacce di gestione remota esposte. Ottenuto l'accesso, modifica le impostazioni DHCP/DNS del dispositivo [ic3.gov](https://www.ic3.gov/PSA/2026/PSA260407).
2. DNS controllato dall'attaccante. Il router compromesso viene configurato per utilizzare resolver DNS sotto il controllo del GRU. Ogni dispositivo connesso — laptop, smartphone, stampanti — eredita automaticamente queste impostazioni via DHCP.
3. Intercettazione selettiva. Per la maggior parte dei domini, il DNS malevolo si limita a inoltrare la richiesta al resolver legittimo, restando invisibile. Per domini specifici (es. Microsoft Outlook Web Access, portali governativi, webmail), restituisce un indirizzo IP fraudolento che punta a un server controllato da APT28.
4. Adversary-in-the-Middle (AitM). Il server fraudolento si frappone tra l'utente e il servizio reale. Se l'utente ignora l'avviso di certificato SSL/TLS non valido — un'abitudine purtroppo diffusa — l'attaccante vede il traffico in chiaro: password, token di sessione, contenuti delle email [zdnet.com](https://www.zdnet.com/home-and-office/networking/router-vulnerable-russian-hackers-fbi-warning/).

La gravità sta nell'asimmetria tra lo sforzo offensivo e quello difensivo. APT28 non ha scritto exploit complessi: ha solo sfruttato router lasciati in stato di abbandono digitale. E una volta dentro, la posizione di privilegio del router — vero e proprio gatekeeper di tutta la rete — rende l'attacco estremamente difficile da individuare con i normali antivirus.

Quali router sono a rischio (e come verificare il proprio)

L'avviso del National Cyber Security Centre britannico elenca 23 modelli TP-Link specificamente presi di mira da APT28, precisando che l'elenco «non è esaustivo» [cnet.com](https://www.cnet.com/home/internet/5-steps-the-fbi-wants-you-to-take-to-secure-your-router-right-now/). Tra questi figurano:

• TP-Link Archer C5, C7 (router dual-band molto diffusi in Italia)
• TP-Link WR841N, WR840N, WR842N (modelli "Lite N" ancora usati in piccoli uffici)
• TP-Link MR6400, MR3420 (router LTE/N che forniscono connettività di backup)
• TP-Link WDR3600, WDR4300 (dual-band gigabit)
• TP-Link WA801ND, WA901ND (access point)

Tutti i modelli sopra elencati hanno raggiunto lo stato di End of Service/Life da diversi anni. Un portavoce TP-Link ha dichiarato a CNET che «questi prodotti sono al di fuori del nostro ciclo standard di manutenzione», pur avendo rilasciato patch di sicurezza per alcuni modelli legacy «dove tecnicamente fattibile» [cnet.com](https://www.cnet.com/home/internet/5-steps-the-fbi-wants-you-to-take-to-secure-your-router-right-now/).

Come verificare il proprio router. Accedi all'interfaccia di amministrazione (solitamente all'indirizzo 192.168.0.1 o 192.168.1.1), individua la sezione "Informazioni di sistema" o "Stato" e annota il modello esatto. Poi confrontalo con l'elenco qui sopra e con la pagina degli avvisi di sicurezza sul sito TP-Link. Se il tuo modello è nella lista, o se ha più di 5 anni e non riceve aggiornamenti firmware da almeno 12 mesi, sei nella zona di rischio.

Per capire meglio il ruolo del DNS nella sicurezza della rete, consulta anche la nostra Guida DNS 2026: cos'è, come funziona e come configurarlo.

Le 5 contromisure operative raccomandate da FBI e NSA

Le agenzie federali statunitensi — con il supporto dei partner di intelligence di 17 Paesi, tra cui l'Italia tramite l'Agenzia per la Cybersicurezza Nazionale — hanno pubblicato una lista di azioni concrete. Ecco le cinque contromisure tradotte e adattate al contesto delle PMI italiane.

1. Aggiornare il firmware all'ultima versione disponibile

Il firmware è il sistema operativo del router. I produttori rilasciano aggiornamenti per correggere vulnerabilità note, ma la stragrande maggioranza degli utenti non li installa mai. Secondo un rapporto Forescout citato da CNET, la maggior parte dei router in esercizio utilizza firmware obsoleto da anni [cnet.com](https://www.cnet.com/home/internet/5-steps-the-fbi-wants-you-to-take-to-secure-your-router-right-now/).

Come fare:

• Accedi al pannello di amministrazione del router
• Cerca la sezione "Aggiornamento firmware" o "System Update"
• Se disponibile, attiva l'opzione aggiornamento automatico
• In caso contrario, verifica manualmente la presenza di nuove versioni almeno ogni 90 giorni
• Scarica il firmware solo dal sito ufficiale del produttore

2. Cambiare le credenziali predefinite

Le credenziali di amministrazione del router (da non confondere con la password della rete Wi-Fi) sono il primo vettore di attacco. «C'è un'intera economia sommersa che ruota attorno alla raccolta e alla compravendita di credenziali», ha spiegato Rik Ferguson di Forescout [cnet.com](https://www.cnet.com/home/internet/5-steps-the-fbi-wants-you-to-take-to-secure-your-router-right-now/). Combinazioni come admin/admin o admin/password sono note a qualsiasi attaccante.

Come fare:

• Sostituisci username e password di default con credenziali robuste (minimo 16 caratteri, inclusi numeri, simboli e lettere maiuscole)
• Usa un password manager per generare e conservare credenziali complesse
• Applica la stessa policy anche alla password della rete Wi-Fi (WPA3 se il router la supporta)
• Cambia entrambe le password ogni 6 mesi

3. Disabilitare la gestione remota

Molti router offrono la possibilità di essere amministrati da remoto via Internet. È una funzionalità pensata per l'assistenza tecnica, ma rappresenta una porta d'accesso diretta per gli attaccanti. Se non hai una necessità specifica e documentata, va disattivata.

Come fare:

• Nel pannello di amministrazione, cerca "Remote Management", "Accesso remoto" o "WAN Access"
• Disabilita l'opzione se attiva
• Se proprio necessaria, restringila a specifici indirizzi IP trusted e attiva l'autenticazione a due fattori

4. Segmentare la rete aziendale

La segmentazione è la pratica di separare il traffico di rete in zone distinte: una per i dispositivi aziendali, una per gli ospiti, una per i dispositivi IoT. Se un attaccante compromette un dispositivo nella rete ospiti — o una telecamera IP vulnerabile — non può raggiungere i server aziendali né intercettare il traffico dei dipendenti.

Come fare (con hardware di livello PMI):

• Crea VLAN separate per: rete amministrativa, rete dipendenti, rete ospiti, rete IoT
• Configura ACL (Access Control List) per limitare la comunicazione tra VLAN
• Se il router attuale non supporta le VLAN, valuta un upgrade a un modello professionale
• Per approfondire la protezione della rete, consulta la nostra guida su firewall e NAT

5. Monitorare il traffico anomalo e riavviare periodicamente

L'NSA, in un documento di best practice separato, raccomanda di riavviare il router almeno una volta alla settimana. L'operazione rimuove eventuali impianti malware non persistenti (cioè che risiedono solo in memoria RAM e non sopravvivono al riavvio) e costringe un attaccante a riattivare l'accesso, aumentando le probabilità di essere rilevato [zdnet.com](https://www.zdnet.com/home-and-office/networking/router-vulnerable-russian-hackers-fbi-warning/).

Azioni di monitoraggio alla portata di una PMI:

• Verifica periodicamente i server DNS configurati sul router (devono corrispondere a quelli del provider o a DNS pubblici fidati come Quad9 9.9.9.9 o Cloudflare 1.1.1.1)
• Controlla i log del router per tentativi di accesso falliti o connessioni a indirizzi IP sospetti
• Presta attenzione agli avvisi di certificato SSL/TLS non valido nel browser: sono il principale campanello d'allarme di un attacco AitM in corso
• Non ignorare mai un warning che segnala una discordanza tra il dominio visitato e il certificato presentato

Quando conviene sostituire il router (e quando no)

Non tutti i router vanno buttati. Ecco i criteri decisionali per capire se le contromisure bastano o se è arrivato il momento di un upgrade.

✅ Le contromisure sopra sono sufficienti se:

• Il router ha meno di 4-5 anni
• Il produttore pubblica ancora aggiornamenti firmware regolari (almeno 2 all'anno)
• Supporta WPA3 e consente la segmentazione di rete (VLAN o rete ospiti isolata)
• L'interfaccia di gestione remota è disattivabile

❌ Sostituisci il router se:

• È nella lista dei 23 modelli TP-Link end-of-life
• Non riceve aggiornamenti firmware da oltre 12 mesi
• Non supporta WPA2-AES come minimo (figuriamoci WPA3)
• È stato fornito in comodato dall'ISP oltre 5 anni fa e non è mai stato sostituito
• Non ha la possibilità di creare reti separate (guest network)

Alternative da considerare per una PMI:

• Router professionali di fascia SMB (es. DrayTek Vigor, MikroTik, UniFi): offrono VLAN, firewall stateful, VPN integrata e logging avanzato
• Router con firmware open source (OpenWrt, DD-WRT, OPNsense): prolungano la vita di hardware compatibile, ma richiedono competenze tecniche per l'installazione e la manutenzione. Attenzione: l'operazione invalida la garanzia e un errore può rendere il dispositivo inutilizzabile [malwarebytes.com](https://www.malwarebytes.com/it/blog/news/2026/04/russian-state-sponsored-hackers-hijack-home-and-small-office-routers-for-espionage)
• Servizi DNS filtranti (Cisco Umbrella, Cloudflare Gateway, Quad9): aggiungono uno strato di protezione a monte, bloccando le richieste verso domini malevoli

Limiti e trade-off. Sostituire un router ha un costo (da 100-150 € per un modello SMB base fino a 500+ € per soluzioni enterprise). Il firmware open source, pur economicamente vantaggioso, sposta il costo sulla competenza tecnica interna. I DNS filtranti proteggono dal DNS hijacking ma non da altri tipi di compromissione del router. Nessuna soluzione singola è sufficiente: la sicurezza del gateway di rete richiede un approccio stratificato. Per un quadro completo della protezione perimetrale, leggi Cybersecurity PMI Italia: dalla protezione perimetrale al real-time.

Cosa rischiano concretamente le PMI italiane

L'Italia figura tra i Paesi partner che hanno collaborato all'indagine internazionale [ic3.gov](https://www.ic3.gov/PSA/2026/PSA260407). Sebbene i numeri specifici per l'Italia non siano stati divulgati, il profilo di rischio per le PMI italiane è elevato per tre ragioni strutturali.

1. Infrastruttura datata. Una quota significativa di piccole imprese italiane utilizza ancora router forniti dall'ISP anni fa, spesso senza aver mai cambiato le credenziali di default né aggiornato il firmware. Secondo il rapporto Clusit 2025, in Italia il 63% degli attacchi informatici ha preso di mira il segmento PMI, con un incremento del 12% rispetto all'anno precedente.

2. Smart working senza segmentazione. Molti professionisti e dipendenti di PMI lavorano da casa utilizzando il router domestico per accedere a sistemi aziendali. Se quel router viene compromesso, l'attaccante ottiene un ponte diretto verso la rete dell'azienda. L'FBI raccomanda esplicitamente alle organizzazioni con lavoratori remoti di «rivedere le policy su come i dipendenti accedono ai dati sensibili, incluso l'uso di VPN e configurazioni applicative rafforzate» [ic3.gov](https://www.ic3.gov/PSA/2026/PSA260407). Per approfondire, consulta la nostra guida decisionale sulle VPN in Italia.

3. Effetto domino tra minacce. Un router compromesso può essere usato come trampolino per attacchi successivi: dal ransomware al phishing mirato. Le credenziali intercettate via DNS hijacking alimentano campagne di credential stuffing e Business Email Compromise. Il router non è il bersaglio finale: è la porta d'ingresso.

Confronto rapido: opzioni di protezione a confronto

Per orientare la scelta, ecco una sintesi delle opzioni discusse, valutate su costo, efficacia e complessità di implementazione.

Opzione	Costo	Efficacia vs DNS hijacking	Competenze richieste
Aggiornamento firmware + cambio credenziali	€0	Media	Basse
Sostituzione con router SMB moderno	€100–500	Alta	Medie
Firmware open source (OpenWrt/OPNsense)	€0–50	Alta	Elevate
DNS filtrante + VPN aziendale	€5–20/mese	Molto alta	Medie
Servizio gestito ISP (router + monitoraggio)	Variabile	Completa	Nessuna (gestito)

Criterio decisionale. Per una PMI con meno di 10 dipendenti, le prime tre misure (firmware, credenziali, gestione remota) sono il minimo sindacale da implementare entro 48 ore. Se il router attuale è nella lista dei modelli end-of-life, la sostituzione non è rinviabile. Per aziende con oltre 10 dipendenti, smart working strutturato o gestione di dati sensibili (studi legali, commercialisti, agenzie che trattano dati sanitari), la combinazione router professionale + DNS filtrante + VPN rappresenta lo standard di protezione adeguato al 2026.

Neomedia protegge la tua rete: servizi per la sicurezza del gateway

Come Internet Service Provider italiano attivo dal 1995, Neomedia ha integrato nei propri servizi per le PMI tre livelli di protezione che rispondono direttamente alle minacce descritte in questo articolo.

1. Router professionale con gestione automatica degli aggiornamenti. Neomedia fornisce alle PMI router di classe business con firmware gestito centralmente. Gli aggiornamenti di sicurezza vengono distribuiti automaticamente, senza richiedere alcun intervento da parte del cliente. Le credenziali predefinite vengono sostituite in fase di installazione con credenziali uniche per ogni dispositivo. Scopri le soluzioni di connettività business →

2. DNS filtering e monitoraggio del traffico. Il servizio include resolver DNS con filtro anti-malware e anti-phishing che blocca le richieste verso domini malevoli noti, intercettando il DNS hijacking prima che raggiunga il dispositivo. Il traffico anomalo viene segnalato proattivamente al nostro SOC. Esplora i servizi di sicurezza gestita →

3. Consulenza di cybersecurity e audit della rete. Per le PMI che necessitano di una valutazione strutturata del rischio, Neomedia offre audit di vulnerabilità del perimetro di rete, verifica della segmentazione e assistenza nella configurazione di VPN aziendali per lo smart working sicuro. Richiedi una consulenza personalizzata →

Se sospetti che il tuo router sia stato compromesso, o se vuoi semplicemente verificare che la configurazione attuale sia adeguata agli standard di sicurezza 2026, contatta l'assistenza tecnica Neomedia: un tecnico ti guiderà nella diagnosi e nelle prime contromisure.

Hai trovato utile questo articolo? Condividilo con un collega che gestisce la rete della tua azienda. La sicurezza del router non è un costo: è la prima rata dell'assicurazione contro un incidente informatico che, per una PMI italiana, costa in media 32.000 euro (fonte: Rapporto Clusit 2025).